相對于傳統方案而言,SD-WAN有著無可比擬的優勢,很多局域網都采用了SD-WAN的智能組網和遠程辦公方案。SD-WAN的網絡規劃主要考慮如下三個方面:
多地虛擬組網
遠程辦公撥入
網管技術支持
所以,我們在配置SD-WAN網絡時候,主要考慮這三個需求就可以。
如圖:
相對于傳統方案而言,SD-WAN有著無可比擬的優勢,很多局域網都采用了SD-WAN的智能組網和遠程辦公方案。SD-WAN的網絡規劃主要考慮如下三個方面:
多地虛擬組網
遠程辦公撥入
網管技術支持
所以,我們在配置SD-WAN網絡時候,主要考慮這三個需求就可以。
如圖:
在“如何用SD-WAN實現多地組網?”一文中,我們介紹了如何用SD-WAN來實現多地組網。實際上SD-WAN不僅可以用于多地組網,而且可以用于遠程辦公撥入。
和傳統的遠程辦公方案相比,SD-WAN有如下優勢:
自動尋址,無需公網IP。
點對點加密傳輸,無需通過服務器轉發,傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
本文中,我將介紹如何用SD-WAN實現遠程辦公撥入。
SD-WAN不需要固定公網IP也可以實現遠程辦公撥入。如下圖,該局域網通過一臺WSG網關連接外網,內網網段是192.168.10.0/24。
SD-WAN即軟件定義廣域網,可以實現異地智能組網,遠程辦公撥入。和傳統的VPN相比,SD-WAN有如下優勢:
自動尋址,無需公網IP。
點對點加密傳輸,無需通過服務器轉發,傳輸安全性高。
多平臺支持。有windows,安卓客戶端。
既能實現多地異地組網,又可以實現遠程辦公撥入。
本文中,我將介紹如何用WSG自帶的SD-WAN來實現多地異地虛擬組網。
現在的視頻資源非常多,抖音、愛奇藝、騰訊視頻、優酷......可以說是數不勝數。而對于公司局域網來說,手機刷視頻不但嚴重影響工作效率,而且是一個非常耗費網絡帶寬的一個行為。
本文中,我將以WSG上網行為管理為例,介紹如何在公司局域網內禁止手機刷抖音等視頻。
局域網內如果有電腦感染了木馬病毒,是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進行查殺,簡直就和大海撈針一樣,需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展,大部分情況下最終只能一臺一臺的殺毒整理。
從技術原理上來說,上級部門是在網絡上層部署了入侵檢測系統,對網絡流量進行分析,從中識別出木馬病毒的特征;由于出口處做了網絡地址轉換,上級部門只能檢測到公網IP,而無法知道實際中毒的電腦。所以,你只需要在本地局域網中部署了入侵檢測,就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進行查殺了。
如下圖,在WSG上網行為管理的“安全防護”-“入侵防御”中,點擊“IPS檢測項”,就可以看到入侵防御的各個選項。
當您有多臺WSG設備時,如果有一個集中可以查看多臺設備、網絡狀態的綜合頁面,是不是很有吸引力?在本文中,我將介紹如何用php調用WSG的API,來自己DIY一個集中管控平臺。該平臺的源代碼框架如下:
index.htm: 定義頁面結構。
apidemo.php:php腳本,主要是處理API的調用。
apidemo.js:腳本,主要處理頁面的顯示邏輯。
具體步驟如下:
一些企事業單位的局域網出于安全需要,必須指定的mac地址才可以聯網和訪問服務器資源。在本例中,我將結合WSG上網行為管理網關,來介紹如何通過客戶機的MAC地址來對客戶端進行身份認證,只有通過認證的客戶端設備才可以訪問網絡資源。網絡結構圖如下:
作者:笨小驢 | 分類:企業網絡安全方案設計 | 瀏覽:5761 | 評論:0
有些業務系統出于安全需要,會限制登錄的IP地址,比如只允許總公司的IP訪問。這種情況下,分公司如果想要訪問該業務系統,也必須走總公司的寬帶才可以。要實現這個需求,一般有以下解決方案:
1). 方案一:分公司的電腦先撥入總公司的VPN,走總公司線路訪問外網。
2). 方案二:分公司和總公司之間組建site-to-site虛擬局域網,分公司電腦通過總部的代理服務器訪問業務系統。
3). 方案三:分公司和總公司之間組建site-to-site虛擬局域網,通過在分公司的網關上指定分流訪問。
方案一需要在每臺電腦上都撥入VPN,配置和維護都比較麻煩;方案二需要在總部搭建代理服務器;所以相對來說方案三最為方便快捷。本例中,我將結合WSG上網行為管理網關,介紹如何通過多線均衡和VPN客戶端來實現分公司走總部線路訪問業務系統(方案三)。
相對于二層交換機的網絡環境,在三層交換機環境下部署上網行為管理的步驟要復雜一些,差別主要在“靜態路由”和“MAC地址收集器”,還有上層防火墻的一些安全策略的影響。在本文中,我將結合一次實際的安裝經歷,介紹三層環境下用網橋模式部署WSG上網行為管理的一些常見問題。
本例中,網關是華為USG防火墻172.16.200.253,三層交換機是172.16.200.254,子網掩碼都是255.255.255.0。既然200段IP是足夠的,所以我就直接把管理口設置在網橋上面,把WSG的IP設置為172.16.200.252,網關地址和DNS是防火墻的IP地址172.16.200.253。
WFilter NGF上網行為管理系統支持“Logo修改器”擴展插件,可以實現如下功能:
自定義產品名
自定義產品Logo圖標
自定義網站鏈接
自定義界面皮膚
該“Logo修改器”擴展插件的使用界面如下圖:
采用釘釘做上網實名認證存在很多優勢,比如:
可以直接利用釘釘中現有的組織架構,不需要另行創建認證的賬號。
和短信認證相比,不會產生費用。
電腦和手機都可以支持。
可以自動獲取并記錄釘釘的員工姓名。
可以基于釘釘員工姓名配置上網策略和統計。
在“”中,我們介紹了在server 2003/2008下如何設置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統,配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下:
右鍵點擊“組策略管理”中域的“組策略對象”下面的“Default Domain Policy”。
很多公司出于工作需要,都會提供遠程辦公撥入的VPN,供員工在外地可以連接到企業內網處理工作。但是這也帶來一些安全方面的隱患;所以很多情況下,我們需要對外網撥入后的訪問權限進行控制。
在本例中,我將結合WSG上網行為管理網關的openvpn來介紹如何限制外網撥入后的訪問權限。
網管技術人員經常需要處理網站打不開的問題,而網站打不開可能有很多原因,作為一名合格的網絡技術人員,需要可以快速定位問題所在,然后加以解決。
本文中,我將介紹網站打不開的常見原因以及對應的解決方法。
網站自身問題
DNS解析問題
線路不通
網絡安全策略
本文將介紹如何用阿里云的短信服務來實現WiFi上網實名認證。
首先你要申請一個阿里云賬號,因為短信服務是需要審核的,所以賬號最好要用企業為主體并且完成實名認證。如果是個人賬號,那么申請短信簽名和模板時,流程會復雜一些。企業主體完成實名認證后,界面是這樣的:
然后在“產品和服務”中選擇“短信服務”,并且購買適合的套餐。
在局域網內部署WSG上網行為管理后,可以對全網的上網行為進行分析、記錄和統計。除了內置的一系列報表外,你還可以利用WSG的自定義報表功能,來實現更強大的統計功能。在本文中,我將介紹如何用WSG的統計報表,來對員工找工作的行為進行分析告警,從而使公司領導了解員工的工作心態,減少公司損失。
如下圖,選擇“網頁統計”-“網頁瀏覽次數統計”,勾選“保存該報表”,點擊保存后,再點擊“設置”。
采用企業微信做上網實名認證存在很多優勢,比如:
可以直接利用企業微信中現有的組織架構,不需要另行創建認證的賬號。
和短信認證相比,不會產生費用。
電腦和手機都可以支持。
可以自動獲取并記錄企業微信的員工姓名。
可以基于企業微信員工姓名配置上網策略和統計。
很多網絡環境目前都采用光纖的連接方式,比如主交換機到其他樓層交換機采用光口連接,再從樓層交換機的RJ45電口連接到其他網絡設備。這種網絡環境中,很多情況下都采用透明網橋的方式部署上網行為管理。本文中,我將介紹如何把上網行為管理的透明網橋串接到光口交換機和電口交換機中間。主要有如下兩種方式:
如下圖,以WSG-500E為例,該型號有6個千兆電口和2個千兆光口,可以把網橋創建在一個光口和一個電口上。光口接上層的匯聚交換機,電口接下面的二層交換機。
很多企事業單位需要對電腦的外網訪問采用嚴格的控制策略,比如只允許工作網站、只允許使用163郵箱等。本文中,我將以WSG上網行為管理為例,來演示如何實現網站白名單功能。
具體的配置邏輯是:先在“應用過濾”中禁止所有的網絡應用,然后再把要放行的內容加到“例外設置”里面。因為“例外設置”的優先級是最高的,這樣就達到了管控的效果,被管控的終端只能訪問指定
勒索軟件對企業數據有著毀滅性的破壞力,而且企業中了勒索病毒后,如果沒有相關的數據備份,要么承擔損失,要么只能支付贖金。因此勒索軟件的種類和擴散逐年遞增,防御勒索軟件工作成為了企業數據安全防護工作中的眾矢之的。
勒索軟件的傳播途徑和工作原理主要有兩種:
1). 通過攻擊windows服務器漏洞入侵到企業內網,然后再進行大面積的攻擊感染。
2). 通過郵件、網站掛馬、文件等方式,先感染個人電腦,然后攻擊整個局域網。
WSG上網行為管理網關的“短信認證”功能,可以對網內的終端進行短信實名認證,記錄手機號以及對應的上網內容。在有些情況下,用戶需要指定短信認證的手機號,未授權的手機號不允許做短信認證。在本文中,我將結合WSG的短信認證功能,來介紹如何限制認證的手機號碼。
在“web認證”-“第三方認證”的短信認證中,點擊“編輯認證頁面”,可以看到認證頁面信息。如下圖:
企業的網絡環境有很多重要信息,不能被未授權的用戶訪問到,也不能泄露到外網。所以,很多企業對公司的WiFi使用,都要求手機進行實名認證,只有認證過的手機才可以接入。并且記錄上網內容和上網策略。本文中,我將介紹如何用WSG上網行為管理網關來實現內部手機的實名上網。
一些企事業單位出于安全考慮,需要做內外網分離。舉例來說,需要達到如下的技術要求:
生產網、辦公網、外網三網隔離。
啟用網絡準入,對非規定允許接入的設備禁止其接入網絡。
上網數據留存。
在本文中,我將結合WSG上網行為管理來闡述如何實現內外網分離。
WFilter NGF上網行為管理系統(WSG網關)提供了豐富的系統調用API接口,具體的API接口請參考:。在本文中,我將介紹如何用WFilter的API接口來直接查詢數據庫。以php為例,流程如下:
下載并引用WFilterNGF的php sdk。
調用login接口,獲取登錄的session。
調用query_db這個api接口,可以直接查詢數據庫。
query_db需要兩個參數,第一個參數是數據庫名,第二個參數是查詢的sql語句。如下圖: